網(wǎng)絡(luò)系統(tǒng)集成 課件 第6-8章 網(wǎng)絡(luò)安全方案設(shè)計、網(wǎng)絡(luò)應(yīng)用服務(wù)器、網(wǎng)絡(luò)存儲方案設(shè)計

第六章網(wǎng)絡(luò)安全方案設(shè)計【內(nèi)容介紹】本章介紹了網(wǎng)絡(luò)安全現(xiàn)狀，我們從現(xiàn)狀分析得到應(yīng)該采取什么樣的策略，然后圍繞策略，結(jié)合常見安全技術(shù)進(jìn)行詳細(xì)地講解了網(wǎng)絡(luò)準(zhǔn)入控制及相關(guān)產(chǎn)品，防火墻技術(shù)及相關(guān)產(chǎn)品，網(wǎng)絡(luò)入侵檢測技術(shù)及相關(guān)產(chǎn)品，網(wǎng)絡(luò)防病毒技術(shù)及相關(guān)產(chǎn)品，統(tǒng)一威脅管理及相關(guān)產(chǎn)品，網(wǎng)絡(luò)傳輸安全及相關(guān)產(chǎn)品。最后通過具體的方案案例給予網(wǎng)絡(luò)安全補充講解。7.1網(wǎng)絡(luò)安全基礎(chǔ)隨著互聯(lián)網(wǎng)的飛速發(fā)展，網(wǎng)絡(luò)安全逐漸成為一個潛在的巨大問題。網(wǎng)絡(luò)安全性是一個涉及面很廣泛的問題，其中也會涉及到是否構(gòu)成犯罪行為的問題。在其最簡單的形式中，它主要關(guān)心的是確保無關(guān)人員不能讀取，更不能修改傳送給其他接收者的信息。此時，它關(guān)心的對象是那些無權(quán)使用，但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問題，以及發(fā)送者是否曾發(fā)送過該條消息的問題。大多數(shù)安全性問題的出現(xiàn)都是由于有惡意的人試圖獲得某種好處或損害某些人而故意引起的?？梢钥闯霰ＷC網(wǎng)絡(luò)安全不僅僅是使它沒有編程錯誤。它包括要防范那些聰明的，通常也是狡猾的、專業(yè)的，并且在時間和金錢上是很充足、富有的人。同時，必須清楚地認(rèn)識到，能夠制止偶然實施破壞行為的敵人的方法對那些慣于作案的老手來說，收效甚微。6.2網(wǎng)絡(luò)安全設(shè)計的步驟6.2.1信息安全的三要素信息安全的中心問題是要能夠保障信息的合法持有和使用者能夠在任何需要該信息時獲得保密的，沒有被非法更改過的“原裝的”信息。在英文的文獻(xiàn)中，信息安全的目的常常用Confidentiality(保密性),Integrity（完整性）,和Availability（可用性）,三個詞概括。簡而言之，叫CIA-Triad。6.2.2風(fēng)險分析和管理網(wǎng)絡(luò)安全風(fēng)險分析主要是指：由于網(wǎng)絡(luò)存在的安全漏洞，黑客們所制造的各類新型的風(fēng)險將會不斷產(chǎn)生，這些風(fēng)險由多種因素引起，與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)。（1）物理（2）網(wǎng)絡(luò)（3）系統(tǒng)（4）應(yīng)用1、物理安全風(fēng)險分析網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅。電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失。電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱。不能保證幾個不同機密程度網(wǎng)絡(luò)的物理隔離。2、網(wǎng)絡(luò)安全風(fēng)險分析內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間如果在沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來自外部網(wǎng)絡(luò)的攻擊。包括來自internet上的風(fēng)險和下級單位的風(fēng)險。內(nèi)部局域網(wǎng)不同部門或用戶之間如果沒有采用相應(yīng)一些訪問控制，也可能造成信息泄漏或非法攻擊。據(jù)調(diào)查統(tǒng)計，已發(fā)生的網(wǎng)絡(luò)安全事件中，70%的攻擊是來自內(nèi)部。因此內(nèi)部網(wǎng)的安全風(fēng)險更嚴(yán)重。內(nèi)部員工對自身企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉，自己攻擊或泄露重要信息內(nèi)外勾結(jié)，都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命安全威脅。3、系統(tǒng)的安全風(fēng)險分析所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其后門（Back-Door），而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小做出相應(yīng)的安全解決方案。4、應(yīng)用的安全風(fēng)險分析應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。比如新增了一個新的應(yīng)用程序，肯定會出現(xiàn)新的安全漏洞，必須在安全策略上做一些調(diào)整，不斷完善。6.2.3安全策略設(shè)計為了有效的解決網(wǎng)絡(luò)安全問題，不能單單從安全技術(shù)策略出發(fā)，而應(yīng)該多方面的考慮整體策略，即網(wǎng)絡(luò)安全的定義、范圍、總體目標(biāo)、安全管理措施和安全技術(shù)等幾個方面。而在本文中，我們主要側(cè)重于兩方面來考慮，即安全管理、安全技術(shù)。下面將通過兩方面的介紹來了解網(wǎng)絡(luò)安全策略，1、安全管理通常所說的網(wǎng)絡(luò)安全建設(shè)“三分技術(shù)，七分管理”，也就是突出了“管理”在網(wǎng)絡(luò)安全建設(shè)中所處的重要地位。長期以來，由于管理的不完善、人員責(zé)任心差等因素導(dǎo)致網(wǎng)絡(luò)安全事件時時發(fā)生。雖然現(xiàn)在有安全管理建設(shè)，真正實行還是有一定的難度，但是，安全管理在一定的程度上還是非常的重要，所以，我同樣要加強安全管理建設(shè)，是實現(xiàn)安全技術(shù)的有效方式2、安全技術(shù)安全技術(shù)及安全產(chǎn)品在現(xiàn)時的網(wǎng)絡(luò)安全建設(shè)中投入的成本比例是最大的，而且安全技術(shù)具有強制性手段，能杜絕許多不安全事件的發(fā)生，具有事前預(yù)防和事后修復(fù)的能力，還能實現(xiàn)安全事件的取證。6.3常見的網(wǎng)絡(luò)安全手段隨著計算機的普及和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，人們也越來越依賴于計算機和網(wǎng)絡(luò)。因此，網(wǎng)絡(luò)安全應(yīng)該也必須引起注意。網(wǎng)絡(luò)安全是一門涉及計算機、網(wǎng)絡(luò)、通訊、密碼、信息安全、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科，涉及面極廣，而且不斷更新和發(fā)展。國家對信息產(chǎn)業(yè)的扶持，使國內(nèi)的網(wǎng)絡(luò)狀況逐漸好轉(zhuǎn)，更多的服務(wù)器的開通，更快的寬帶網(wǎng)得逐漸普及，各種各樣的攻擊行為在網(wǎng)上也越來越頻繁化和簡單化。因此，網(wǎng)絡(luò)安全的嚴(yán)峻性對網(wǎng)絡(luò)管理員的水平提出了極高的要求。網(wǎng)絡(luò)安全有以下幾種常見的技術(shù)手段：密碼技術(shù)、網(wǎng)絡(luò)嗅探、安全掃描技術(shù)6.3.1密碼技術(shù)隨著密碼學(xué)商業(yè)應(yīng)用的普及，密碼學(xué)受到前所未有的重視。除傳統(tǒng)的密碼應(yīng)用系統(tǒng)外，PKI系統(tǒng)以公鑰密碼技術(shù)為主，提供加密、簽名、認(rèn)證、密鑰管理、分配等功能。6.3.2網(wǎng)絡(luò)嗅探網(wǎng)絡(luò)嗅探是指局域網(wǎng)環(huán)境下網(wǎng)絡(luò)數(shù)據(jù)的截獲，針對不同的局域網(wǎng)環(huán)境嗅探的技術(shù)有所不同，分共享式網(wǎng)絡(luò)和交換式網(wǎng)絡(luò)。6.3.3安全掃描技術(shù)安全掃描技術(shù)主要分為兩類：主機安全掃描技術(shù)和網(wǎng)絡(luò)安全掃描技術(shù)。主機安全掃描技術(shù)是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。網(wǎng)絡(luò)安全掃描技術(shù)主要針對系統(tǒng)中不合適的設(shè)置脆弱的口令，以及針對其它同安全規(guī)則抵觸的對象進(jìn)行檢查等。網(wǎng)絡(luò)安全掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。6.3.4無線網(wǎng)絡(luò)安全問題安全問題是無線網(wǎng)絡(luò)的核心問題，也是由它的固有的屬性決定的。其中一些安全威脅和有線網(wǎng)絡(luò)相同，另一些則是無線網(wǎng)絡(luò)特有的。由于無線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過天花板、玻璃、樓層、磚、墻等物體，因此在一個無線局域網(wǎng)接入點(AccessPoint)所服務(wù)的區(qū)域中，任何一個無線客戶端都可以接受到此接入點的電磁波信號，這樣就可能包括一些惡意用戶也能接收到其他無線數(shù)據(jù)信號。這樣惡意用戶在無線局域網(wǎng)中相對于在有線局域網(wǎng)當(dāng)中，去竊聽或干擾信息就來得容易得多。無線網(wǎng)絡(luò)所面臨的安全威脅主要有以下幾類：1、網(wǎng)絡(luò)竊聽2、中間人欺騙3、WEP破解4、MAC地址欺騙5、地址欺騙和會話攔截6、高級入侵6.3.5網(wǎng)絡(luò)操作系統(tǒng)安全加固如何保護(hù)通用操作系統(tǒng)的安全，主要有下列防范措施：1、使用強密碼2、做好邊界防御3、更新軟件，打補丁4、關(guān)閉沒有使用的服務(wù)5、使用數(shù)據(jù)加密6.3.6防火墻技術(shù)從分布式來看，有個人防火墻、邊界網(wǎng)絡(luò)防火墻和分布式防火墻。其中個人防火墻是最簡單，也是應(yīng)用最為廣泛的，比如360個人防火墻和；邊界防火墻屬于企業(yè)內(nèi)網(wǎng)與外網(wǎng)的安全隔離的傳統(tǒng)技術(shù)，幾乎所有的企業(yè)網(wǎng)絡(luò)都有，稱為網(wǎng)絡(luò)防火墻；分布式防火墻相對于傳統(tǒng)防火墻，分布式防火墻要負(fù)責(zé)對網(wǎng)絡(luò)邊界、各子網(wǎng)和網(wǎng)絡(luò)內(nèi)部各節(jié)點之間的安全防護(hù)，是一個完整的防護(hù)系統(tǒng)，而不是單一的產(chǎn)品，根據(jù)其所需完成的功能，分布式防火墻體系結(jié)構(gòu)包含網(wǎng)絡(luò)防火墻、主機防火墻、中心管理。從防火墻的實現(xiàn)層次上可以分兩種：包過濾防火墻和應(yīng)用層網(wǎng)關(guān)級防火墻。包過濾是在IP層實現(xiàn)的，主要表現(xiàn)為報文過濾，根據(jù)報文的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口及報文傳遞方向等報頭信息來判斷是否允許報文通過，現(xiàn)在在此基礎(chǔ)上有更強的過濾技術(shù)：基于內(nèi)容的智能型和基于網(wǎng)絡(luò)連接狀態(tài)的狀態(tài)型。防火墻應(yīng)用示例6.3.7入侵檢測技術(shù)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要特點為：廣泛適用于各種網(wǎng)絡(luò)環(huán)境，不影響現(xiàn)有網(wǎng)絡(luò)性能實時的檢測和響應(yīng)監(jiān)控來源于網(wǎng)絡(luò)的入侵行為和攻擊企圖使得攻擊者轉(zhuǎn)移證據(jù)困難獨立的系統(tǒng)，不需改變原有網(wǎng)絡(luò)結(jié)構(gòu)，不需在任何主機上安裝程序2、入侵檢測工作流程通常，入侵檢測系統(tǒng)在分析和判斷攻擊行為、特定行為或違反策略的異常行為時，需要經(jīng)過下列四個階段：（1）數(shù)據(jù)采集，網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）利用處于混雜模式的網(wǎng)卡來獲得通過網(wǎng)絡(luò)的數(shù)據(jù)，采集必要的數(shù)據(jù)用于入侵分析。（2）數(shù)據(jù)過濾，根據(jù)預(yù)設(shè)的閾值，進(jìn)行必要的數(shù)據(jù)過濾，從而提高檢測、分析的效率。（3）攻擊檢測/分析，根據(jù)定義的安全策略，來實時監(jiān)測并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，使用采集的網(wǎng)絡(luò)包作為數(shù)據(jù)源進(jìn)行攻擊辨別，通常采用模式匹配、表達(dá)式或字節(jié)匹配、頻率或穿越閥值、事件的相關(guān)性和統(tǒng)計異常檢測等技術(shù)來識別攻擊。（4）事件報警/響應(yīng)，當(dāng)IDS一旦檢測到了攻擊行為，其響應(yīng)模塊就提供多種選項以通知、報警并對攻擊采取相應(yīng)的反應(yīng)，例如通知管理員、記錄數(shù)據(jù)庫等。3、入侵檢測的基本體系結(jié)構(gòu)傳感器管理平臺事件分析數(shù)據(jù)庫TCP/IP網(wǎng)絡(luò)傳感器……信息分析事件收集響應(yīng)控制圖6.2入侵檢測基本體系結(jié)構(gòu)4、常見的入侵檢測技術(shù)(1)模式匹配(2)異常檢測(3)協(xié)議分析(4)會話檢測(5)實時關(guān)聯(lián)檢測6.3.8病毒防范主要采用防病毒軟件6.4傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品及選型6.4.1防火墻1、防火墻產(chǎn)品選型：在選擇網(wǎng)絡(luò)防火墻時，應(yīng)主要考慮網(wǎng)絡(luò)的規(guī)模、網(wǎng)絡(luò)的架構(gòu)、網(wǎng)絡(luò)的安全需求、在網(wǎng)絡(luò)中的位置，以及網(wǎng)絡(luò)端口的類型等要素，選擇性能、功能、結(jié)構(gòu)、接口、價格都最為適宜的網(wǎng)絡(luò)安全產(chǎn)品。（1）系統(tǒng)性能（2）接口（3）并發(fā)連接數(shù)（4）吞吐量（5）安全過濾帶寬（6）支持用戶數(shù)華為USG2000防火墻產(chǎn)品圖華為USG6300防火墻產(chǎn)品圖6.4.2入侵檢測圖6.5RG-IDS入侵檢測系統(tǒng)產(chǎn)品圖6.4.3統(tǒng)一威脅圖6.6UTM功能集合6.4.4桌面安全管理系統(tǒng)桌面安全管理（又稱終端安全管理）是為企業(yè)級用戶提供全面高效的計算機設(shè)備管理手段，監(jiān)控企業(yè)內(nèi)IT環(huán)境的變化，保障計算機設(shè)備正常運行，大幅度降低維護(hù)成本，幫助企業(yè)用戶管理好計算機設(shè)備。6.5網(wǎng)絡(luò)安全方案設(shè)計方案參考教材的分析過程圖6.7網(wǎng)絡(luò)安全整體解決方案圖示習(xí)題與思考題1．舉例說明常見的網(wǎng)絡(luò)安全現(xiàn)狀有哪些，結(jié)合目前最新的現(xiàn)狀給以說明。2．解決網(wǎng)絡(luò)安全問題的時候，通常有安全管理和安全技術(shù)，請說明安全管理應(yīng)該如何建設(shè)，并結(jié)合目前最新的技術(shù)說明網(wǎng)絡(luò)安全技術(shù)有哪些。3．調(diào)查和調(diào)研目前有哪些主流的安全廠商。4．入侵檢測技術(shù)有哪些技術(shù)，舉例說明。5．調(diào)研UTM技術(shù)和目前的UTM產(chǎn)品有哪些。第七章網(wǎng)絡(luò)應(yīng)用服務(wù)器【內(nèi)容介紹】在很多大中型網(wǎng)絡(luò)中，都有一個非常重要的核心設(shè)備，那就是服務(wù)器，它在提供對內(nèi)對外的各種服務(wù)中起著關(guān)鍵的作用。本章介紹服務(wù)器的概念、作用與分類；基本掌握服務(wù)器的技術(shù)、服務(wù)器的架構(gòu)；掌握服務(wù)器的性能要求及配置要點、產(chǎn)品造型等知識。7.1服務(wù)器基礎(chǔ)知識7.1.1服務(wù)器簡介服務(wù)器是指在網(wǎng)絡(luò)環(huán)境下運行相應(yīng)應(yīng)用軟件，為網(wǎng)上用戶提供共享信息資源和服務(wù)的設(shè)備。服務(wù)器是網(wǎng)絡(luò)的中樞和信息化的核心，具有高性能、高可靠性、高可用性，I/O吞吐能力強，存儲容量大，連網(wǎng)和網(wǎng)絡(luò)管理能力強等特點。這里需要分清兩個概念的“服務(wù)器”，即硬件意義上的“服務(wù)器”和軟件意義上的“服務(wù)器”。其中，硬件意義上的服務(wù)器是指服務(wù)器的CPU、內(nèi)存、硬盤等看得見、摸得著的硬件系統(tǒng)。而軟件意義上的服務(wù)器更多地指服務(wù)器中運行的軟件部分，如將運行Web服務(wù)的服務(wù)器稱為“Web服務(wù)器”，將運行FTP服務(wù)的服務(wù)器稱為“FTP服務(wù)器”。軟件意義上的服務(wù)器不是獨立的，如“Web服務(wù)器”和“FTP服務(wù)器”可以存在于同一臺服務(wù)器中。7.1.2服務(wù)器的作用1、數(shù)據(jù)存儲2、網(wǎng)絡(luò)應(yīng)用服務(wù)7.2服務(wù)器的分類7.2.1根據(jù)網(wǎng)絡(luò)規(guī)模劃分1、工作組級服務(wù)器2、部門級服務(wù)器3、企業(yè)級服務(wù)器7.2.2根據(jù)處理器架構(gòu)劃分1、CISC架構(gòu)服務(wù)器（復(fù)雜指令）2、RISC架構(gòu)服務(wù)器（精簡指令）3、VLIW架構(gòu)服務(wù)器（超長指令）7.2.3根據(jù)外形劃分1、臺式服務(wù)器2、機架式服務(wù)器3、機柜式服務(wù)器4、刀片式服務(wù)器7.3服務(wù)器主要技術(shù)與指標(biāo)服務(wù)器CPU服務(wù)器內(nèi)存服務(wù)器硬盤應(yīng)急管理端口RAID技術(shù)SMP技術(shù)容錯技術(shù)服務(wù)器集群7.4服務(wù)器虛擬化服務(wù)器的虛擬化是指將服務(wù)器物理資源抽象成邏輯資源，讓一臺服務(wù)器變成幾臺甚至上百臺相互隔離的虛擬服務(wù)器，我們不再受限于物理上的界限，而是讓CPU、內(nèi)存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”，從而提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務(wù)器整合，讓IT對業(yè)務(wù)的變化更具適應(yīng)力。服務(wù)器虛擬化主要分為三種：“一虛多”、“多虛一”和“多虛多”?！耙惶摱唷笔且慌_服務(wù)器虛擬成多臺服務(wù)器，即將一臺物理服務(wù)器分割成多個相互獨立、互不干擾的虛擬環(huán)境?！岸嗵撘弧本褪嵌鄠€獨立的物理服務(wù)器虛擬為一個邏輯服務(wù)器，使多臺服務(wù)器相互協(xié)作，處理同一個業(yè)務(wù)。另外還有“多虛多”的概念，就是將多臺物理服務(wù)器虛擬成一臺邏輯服務(wù)器，然后再將其劃分為多個虛擬環(huán)境，即多個業(yè)務(wù)在多臺虛擬服務(wù)器上運行。7.4.1服務(wù)器虛擬化的優(yōu)點1、降低能耗2、節(jié)省空間3、節(jié)約成本4、提高基礎(chǔ)架構(gòu)的利用率5、提高穩(wěn)定性6、減少宕機事件7、提高靈活性7.4.2常見的服務(wù)器虛擬化軟件1、CitrixXenServer2、WindowsServer2012Hyper-V3、VMwareESXServer7.5網(wǎng)絡(luò)服務(wù)器選型7.5.1用戶網(wǎng)絡(luò)服務(wù)器性能要求分析歸納起來，服務(wù)器的性能方面的特點可以總結(jié)為“四性”：即可擴展性、可用性、可管理性和可利用性，也就是我們常見到的服務(wù)器“SUMA”：1、可擴展性2、可用性3、可管理性4、可利用性7.5.2服務(wù)器選購指南1、選購策略2、PC服務(wù)器選購標(biāo)準(zhǔn)3、購買服務(wù)器時應(yīng)注意的配置參數(shù)，比如內(nèi)存、硬盤接口、主板芯片組4、多處理器服務(wù)器選購的策略習(xí)題與思考題1.簡述服務(wù)器在網(wǎng)絡(luò)中的地位。2.簡述CISC和RISC的區(qū)別。3.服務(wù)器與普通PC有何不同？4.簡述內(nèi)存中的ECC、ChipKill技術(shù)。5.簡述服務(wù)器的對稱多處理器技術(shù)、集群技術(shù)、高性能存儲技術(shù)和內(nèi)存技術(shù)。6.為什么說，在一般情況下服務(wù)器增大內(nèi)存要比增加處理器對應(yīng)用更有效。7.如何選購服務(wù)器產(chǎn)品？第八章網(wǎng)絡(luò)存儲方案設(shè)計【內(nèi)容介紹】隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企業(yè)的各類應(yīng)用系統(tǒng)和數(shù)據(jù)存儲量也越來越大，而且對數(shù)據(jù)訪問的速度、可用性、可管理性等要求變得非常的突出，所以網(wǎng)絡(luò)存儲和備份技術(shù)的需求變得更加重要。在本章節(jié)中，主要講解網(wǎng)絡(luò)存儲備份技術(shù)的基本概念、存儲技術(shù)、備份技術(shù)及方案設(shè)計。通過本章的學(xué)習(xí)，使讀者掌握存儲技術(shù)和方案設(shè)計。8.1網(wǎng)絡(luò)存儲技術(shù)目前的網(wǎng)絡(luò)存儲技術(shù)主要有SAN、NAS和iSCSI，SAN主要基于光纖通道和光交換技術(shù)，以面向數(shù)據(jù)塊存取形式完成；NAS基于TCP/IP協(xié)議基礎(chǔ)上的，以文件的存取形式完成；iSCSI則是SAN和NAS兩種技術(shù)優(yōu)點的融合，通過把面向數(shù)據(jù)塊的SCSI協(xié)議封裝在TCP/IP協(xié)議數(shù)據(jù)包中，完成基于IP網(wǎng)絡(luò)的傳輸交換和數(shù)據(jù)存取。而另外的DAS存儲技術(shù)，屬于傳統(tǒng)的存儲技術(shù)，目前也是應(yīng)用最為廣泛的一種，非常適合數(shù)據(jù)量不大的應(yīng)用服務(wù)器。8.1.1DAS存儲技術(shù)DAS(DirectAttachedStorage-直接附加存儲)，也可稱為SAS（Server-AttachedStorage，服務(wù)器附加存儲），是指將存儲設(shè)備通過SCSI接口或光纖通道直接連接到一臺服務(wù)器（或主機）上，作為服務(wù)器（或主機）的硬件組成部分。DAS產(chǎn)品包括存儲器件和集成在一起的簡易服務(wù)器（或主機），其中存儲器件主要包括：硬盤驅(qū)動器陣列、CD或DVD驅(qū)動器、磁帶驅(qū)動器或可移動的存儲介質(zhì)，存儲設(shè)備主要為：磁盤、磁帶、磁盤陣列或磁帶庫，可用于實現(xiàn)涉及文件存取及管理的所有功能。DAS適用于以下幾種環(huán)境：(1)存儲容量要求不高、服務(wù)器數(shù)量很少的中小企業(yè)的應(yīng)用服務(wù)。(2)服務(wù)器在地理分布上很分散，通過SAN（存儲區(qū)域網(wǎng)絡(luò)）或NAS（網(wǎng)絡(luò)直接存儲）在它們之間進(jìn)行互連非常困難，或者成本過高，而采用DAS也可以解決問題。(3)存儲系統(tǒng)必須被直與應(yīng)用服務(wù)器相連接。(4)許多數(shù)據(jù)庫應(yīng)用和應(yīng)用服務(wù)器存儲需要獨立、便于搬遷、更改方便，而要求直接連接到存儲器上。8.1.2SAN存儲技術(shù)SAN存儲示意圖SANWebMailUnix網(wǎng)絡(luò)圖8.1SAN存儲技術(shù)示意圖SAN區(qū)LAN區(qū)SAN存儲技術(shù)的優(yōu)點(1)由于SAN采用光纖通道技術(shù)和交換技術(shù)，所以易于擴展，也具有高可用性和高性能，可以確保企業(yè)的關(guān)鍵業(yè)務(wù)運行的連續(xù)性。(2)由于采用了光纖技術(shù)，支持單模和多模，所以傳輸距離遠(yuǎn)，多達(dá)幾十公里。(3)由于SAN具有很高的環(huán)路帶寬，提升了主機系統(tǒng)的存儲帶寬；又由于大量的數(shù)據(jù)存在于高速的SAN存儲池中，減輕了服務(wù)器與客戶機之間的通訊帶寬，所以傳輸速率高。(4)可采用LAN-Free的數(shù)據(jù)備份方式，將備份數(shù)據(jù)通過SAN的高速網(wǎng)絡(luò)傳輸?shù)酱艓欤瑑H有少量的控制信息通過網(wǎng)絡(luò)進(jìn)行傳輸，大大節(jié)省了網(wǎng)絡(luò)帶寬資源，所以備份效率高。(5)支持服務(wù)器的異構(gòu)平臺，可以確保企業(yè)網(wǎng)絡(luò)的靈活發(fā)展。(6)可通過4項技術(shù)確保數(shù)據(jù)安全性，即：可通過光纖交換機的分區(qū)（ZOONING）功能實現(xiàn)；交換機端口的訪問控制；可通過磁盤陣列的LUNmasking實現(xiàn)LUN一級的安全隔離；通過軟件實現(xiàn)文件共享訪問控制。(7)通過配置、備份恢復(fù)管理軟件，實現(xiàn)集中管理和遠(yuǎn)程管理。SAN的不足基于SAN的存儲技術(shù)已經(jīng)逐漸推廣到信息化建設(shè)的硬件平臺上，SAN取代了基于服務(wù)器的存儲模式，形成了以數(shù)據(jù)存儲為中心的網(wǎng)絡(luò)平臺結(jié)構(gòu)。SAN具有很好的性能、管理更為集中、具有很好的擴展能力。但是在具體實施過程中還存在一些問題：(1)企業(yè)原有的存儲設(shè)備（如SCSI的磁盤陣列）要想接入SAN中，有一定的難度，即使花費大量成本，仍然不能對其有效管理。(2)不同品牌的光纖通道卡(HBA卡)接入SAN時，出現(xiàn)性能不穩(wěn)定的現(xiàn)象。(3)SAN本身缺乏統(tǒng)一的標(biāo)準(zhǔn)，不同廠商的存儲管理軟件只能管理自己的存儲設(shè)備，不能管理其它廠商的存儲設(shè)備，不能有效地發(fā)揮功能。比如EMC的整個套件能夠?qū)崿F(xiàn)功能強大的容災(zāi)技術(shù)。(4)由于SAN的技術(shù)普及時間較短，集成商的技術(shù)支持的水平跟不上，而原廠商的維護(hù)費用又相當(dāng)昂貴，導(dǎo)致SAN的應(yīng)用范圍縮小。SAN的應(yīng)用場合SAN以提供靈活、高性能和擴展的存儲環(huán)境，能夠解決在服務(wù)器和存儲設(shè)備之間傳輸大塊數(shù)據(jù)。特別適于以下應(yīng)用場合：(1)對響應(yīng)時間、可用性和可擴展性要求高的關(guān)鍵業(yè)務(wù)數(shù)據(jù)庫的應(yīng)用。(2)對性能、數(shù)據(jù)完整性和可靠性要求高的集中存儲備份，以保證關(guān)鍵數(shù)據(jù)的安全，可極大地提高企業(yè)容災(zāi)備份的可用性和可靠性。(3)需要海量數(shù)據(jù)存儲。例如，數(shù)字圖書館、企業(yè)或組織的數(shù)據(jù)中心。(4)支持服務(wù)器及其連接設(shè)備之間提供光纖通道高性能和可擴展的、遠(yuǎn)距離的存儲訪問。8.1.3NAS存儲技術(shù)NAS（NetworkAttachedStorage，網(wǎng)絡(luò)附屬存儲）是傳統(tǒng)網(wǎng)絡(luò)文件服務(wù)器技術(shù)的發(fā)展延續(xù)，是專用的網(wǎng)絡(luò)文件服務(wù)器，是代替?zhèn)鹘y(tǒng)網(wǎng)絡(luò)文件服務(wù)器市場的新技術(shù)新產(chǎn)品；是一種將分布、獨立的數(shù)據(jù)整合為大型、集中化管理的數(shù)據(jù)中心，以便于對不同主機和應(yīng)用服務(wù)器進(jìn)行訪問的技術(shù)。它在局域網(wǎng)中，按照TCP/IP協(xié)議進(jìn)行通信，提供文件的I/O（輸入/輸出）方式進(jìn)行數(shù)據(jù)傳輸。在局域網(wǎng)環(huán)境下，NAS已經(jīng)完全可以實現(xiàn)不同平臺之間的數(shù)據(jù)級共享，比如NT、UNIX等平臺的共享，而且NAS本身能夠支持多種協(xié)議(如NFS、CIFS、FTP、HTTP等)。NAS連接需要專用的NAS服務(wù)器，NAS服務(wù)器一般由存儲硬件、操作系統(tǒng)以及其他上的文件系統(tǒng)等幾個部分組成，以提供方便的存儲服務(wù)，如圖8.2所示。Web服務(wù)器TCP/IP網(wǎng)絡(luò)Unix/Linux服務(wù)器NAS服務(wù)器圖8.2NAS結(jié)構(gòu)示意圖目前市場上的NAS產(chǎn)品基本上可以分成兩種模式：專業(yè)存儲廠商NAS產(chǎn)品和主機廠商NAS產(chǎn)品。(1)專業(yè)存儲廠商的NAS產(chǎn)品是真正的NAS產(chǎn)品，因為他們都在NAS引擎的微碼中內(nèi)置了NFS和CIFS的支持，是真正的專業(yè)網(wǎng)絡(luò)文件服務(wù)器：NAS。目前主要專業(yè)NAS廠商有EMC和NETAPP，EMC的NAS產(chǎn)品基于其高可靠性，高性能主要面對的是商業(yè)用戶；NETAPP的NAS產(chǎn)品由于自身特點主要面向中低端用戶。(2)主機廠商NAS產(chǎn)品不是真正的NAS產(chǎn)品，基本都是采用兩臺NT（或UNIX）服務(wù)器做NAS的引擎，實際是包裝過的傳統(tǒng)網(wǎng)絡(luò)文件服務(wù)器，因此對CIFS（NFS）支持較好，但對NFS（CIFS）采用的是模擬方式，因此在性能上沒有很好的擴充性，無法大規(guī)模文件共享的需求。8.1.4iSCSI存儲技術(shù)TCP/IP網(wǎng)絡(luò)iSCSI設(shè)備SANiSCSI網(wǎng)關(guān)應(yīng)用服務(wù)器iSCSI協(xié)議圖8.3iSCSI示意圖從目前的技術(shù)的來看，iSCSI技術(shù)還只是實現(xiàn)SAN架構(gòu)的一種技術(shù)，在性能、擴展性、兼容性等方面還無法與FCSAN相比。通常我們將iSCSI視為“IPSAN”，而基于光纖通道的SAN視為“FCSAN”。8.1.5云存儲云存儲是在云計算（cloudcomputing）概念上延伸和發(fā)展出來的一個新的概念，是一種新興的網(wǎng)絡(luò)存儲技術(shù)，

是指通過集群應(yīng)用、網(wǎng)絡(luò)技術(shù)或分布式文件系統(tǒng)等功能，將網(wǎng)絡(luò)中大量各種不同類型的存儲設(shè)備通過應(yīng)用軟件集合起來協(xié)同工作，共同對外提供數(shù)據(jù)存儲和業(yè)務(wù)訪問功能的一個系統(tǒng)。當(dāng)云計算系統(tǒng)運算和處理的核心是大量數(shù)據(jù)的存儲和管理時，云計算系統(tǒng)中就需要配置大量的存儲設(shè)備，那么云計算系統(tǒng)就轉(zhuǎn)變成為一個云存儲系統(tǒng)，所以云存儲是一個以數(shù)據(jù)存儲和管理為核心的云計算系統(tǒng)。簡單來說，云存儲就是將儲存資源放到云上供人存取的一種新興方案。使用者可以在任何時間、任何地方，透過任何可連網(wǎng)的裝置連接到云上方便地存取數(shù)據(jù)。云存儲可分為以下三類：1、公共云存儲像亞馬遜公司的SimpleStorageService(S3)和Nutanix公司提供的存儲服務(wù)一樣，它們可以低成本提供大量的文件存儲。供應(yīng)商可以保持每個客戶的存儲、應(yīng)用都是獨立的，私有的。其中以Dropbox為代表的個人云存儲服務(wù)是公共云存儲發(fā)展較為突出的代表，國內(nèi)比較突出的代表的有搜狐企業(yè)網(wǎng)盤，百度云盤，樂視云盤，移動彩云，金山快盤，堅果云，酷盤，115網(wǎng)盤，華為網(wǎng)盤，360云盤，新浪微盤，騰訊微云等。公共云存儲可以劃出一部分用作私有云存儲。一個公司可以擁有或控制基礎(chǔ)架構(gòu)，以及應(yīng)用的部署，私有云存儲可以部署在企業(yè)數(shù)據(jù)中心或相同地點的設(shè)施上。私有云可以由公司自己的IT部門管理，也可以由服務(wù)供應(yīng)商管理。2、內(nèi)部云存儲這種云存儲和私有云存儲比較類似，唯一的不同點是它仍然位于企業(yè)防火墻內(nèi)部。至2016年可以提供私有云的平臺有：Eucalyptus、3ACloud、minicloud安全辦公私有云、聯(lián)想網(wǎng)盤等。3、混合云存儲這種云存儲把公共云和私有云/內(nèi)部云結(jié)合在一起。主要用于按客戶要求的訪問，特別是需要臨時配置容量的時候。從公共云上劃出一部分容量配置一種私有或內(nèi)部云可以幫助公司面對迅速增長的負(fù)載波動或高峰時很有幫助。盡管如此，混合云存儲帶來了跨公共云和私有云分配應(yīng)用的復(fù)雜性。云存儲的優(yōu)勢：1、節(jié)約成本云存儲從短期和長期來看，最大的特點就是可以為小企業(yè)減少成本。因為如果小企業(yè)想要放在他們自己的服務(wù)器上存儲，那就必須購買硬件和軟件，要知道它是多么昂貴的。接著，企業(yè)還要聘請專業(yè)的IT人士，管理這些硬件和軟件的維護(hù)工作，并且還要更新這些設(shè)備和軟件。2、更好的備份本地數(shù)據(jù)并可以異地處理日常數(shù)據(jù)如果你所在辦公場所發(fā)生自然災(zāi)害，由于你的數(shù)據(jù)是異地存儲，因此是它非常安全的。即使自然災(zāi)害讓你不能通過網(wǎng)絡(luò)訪問到數(shù)據(jù)，但是數(shù)據(jù)依然存在。如果問題只出現(xiàn)在你的辦公室或者你所在的公司，那么可以你可以隨便去一個地方用你的筆記本來訪問重要數(shù)據(jù)和更新數(shù)據(jù)。它可以讓你保持在惡劣條件下依然讓你保持工作。3、更多的訪問和更好的競爭公司員工不在需要通過本地網(wǎng)絡(luò)來訪問公司信息。這就可以讓公司員工甚至是合作商在任何地方訪問他們需要的數(shù)據(jù)。8.1.6幾種存儲技術(shù)之間的簡單比較DAS是傳統(tǒng)的存儲技術(shù)，應(yīng)用廣泛，其代表是磁盤陣列。DAS的主要優(yōu)勢在于簡單易用，部署方便，但是相對于NAS、SAN和iSCSI，DAS的缺點是很突出的：磁盤空間浪費多，而NAS、SAN和iSCSI很少；DAS不易擴容，容量受限于磁盤控制器，擴容只能再加一臺磁盤陣列或其他存儲；如果用光纖盤陣列，連接距離可以很遠(yuǎn)，但價格昂貴，用SCSI或IDE接口，連接距離幾米內(nèi)；磁盤陣列沒有將存儲和計算分開，需要前端服務(wù)器比較強的處理能力。NAS甚至可理解為在磁盤陣列上加上文件系統(tǒng)，通過以太網(wǎng)提供服務(wù)。NAS的主要優(yōu)勢在于：簡單易用，通過WEB界面管理；價格便宜。共享方便，可以支持多種協(xié)同；擴容方便，可動態(tài)給不同用戶分配或更改存儲空間；對前端服務(wù)器要求不高，文件的管理、緩存在NAS上實現(xiàn)，成本相對降低了。但是NAS的對數(shù)據(jù)庫支持不如磁盤陣列和SAN，而且共用局域網(wǎng)帶寬資源，性能相對會下降很多。SAN屬于高端存儲，價格昂貴，高端一點的SAN，費用可達(dá)百萬元以上，而相同容量的NAS可能在10萬元以下。SAN優(yōu)點很多：性能很好，建設(shè)專用存儲網(wǎng)，和公司局域網(wǎng)不交叉，網(wǎng)絡(luò)帶寬高；支持?jǐn)?shù)據(jù)庫很好，幾乎沒有應(yīng)用限制；擴容方便，如果采用虛擬化存儲技術(shù)，可透明無限擴容；存儲利用率高，可動態(tài)分配空間；SAN也有部分和磁盤陣列相同的缺陷：投資成本高；文件的處理在服務(wù)器上實現(xiàn)，對前端服務(wù)器性能要求高，等等。云儲存的好處在于：第一、存儲管理可以實現(xiàn)自動化和智能化，所有的存儲資源被整合到一起，客戶看到的是單一存儲空間；第二、提高了存儲效率，通過虛擬化技術(shù)解決了存儲空間的浪費，可以自動重新分配數(shù)據(jù)，提高了存儲空間的利用率，同時具備負(fù)載均衡、故障冗余功能；第三、云存儲能夠?qū)崿F(xiàn)規(guī)模效應(yīng)和彈性擴展，降低運營成本，避免資源浪費。8.2災(zāi)難備份與恢復(fù)8.2.1災(zāi)難備份與恢復(fù)的概述常用的三種備份方式如下：(1)全備份（FullBackup）(2)增量備份(IncrementalBackup)(3)差異備份(DifferentialBackup)8.2.2建立災(zāi)難備份專門機構(gòu)實施災(zāi)難備份應(yīng)由董事會或高級管理層決策，指定高層管理人員組織實施。由科技、業(yè)務(wù)、財務(wù)、后勤支持等與災(zāi)難備份相關(guān)的部門組成專門機構(gòu)，主要職責(zé)為：分析災(zāi)難備份需求，制定災(zāi)難備份方案；確定工程預(yù)算，監(jiān)督工程實施；明確各部門的職責(zé)，協(xié)調(diào)各部門關(guān)系；對災(zāi)難恢復(fù)計劃定期進(jìn)行測試和評估；對測試和評估的結(jié)果進(jìn)行審核和存檔并做出相應(yīng)的改進(jìn)。8.2.3分析災(zāi)難備份需求重要信息系統(tǒng)災(zāi)難備份需求分析應(yīng)包括對數(shù)據(jù)處理中心的風(fēng)險分析和對重要信息系統(tǒng)的業(yè)務(wù)分析，以確定災(zāi)難恢復(fù)目標(biāo)。(1)數(shù)據(jù)處理中心風(fēng)險分析分析數(shù)據(jù)處理中心的風(fēng)險，如物理安全，數(shù)據(jù)安全，人為因素，已有的備份和恢復(fù)系統(tǒng)、基礎(chǔ)設(shè)施脆弱點，數(shù)據(jù)處理中心位置，關(guān)鍵技術(shù)點等。明確防范風(fēng)險的技術(shù)與管理手段。確定需要采取災(zāi)難恢復(fù)的類型，